[ 鄭楚新 ]——(2022-7-3) / 已閱6182次
淺析構(gòu)建合規(guī)與內(nèi)控、風險及法務(wù)一體化全面風險管理體系
【摘要】近年來隨著中國企業(yè)在世界范圍內(nèi)若干重大合規(guī)事件的發(fā)生,以及中國政府層面相繼頒布央企合規(guī)指引及企業(yè)境外經(jīng)營合規(guī)指引等文件,合規(guī)已經(jīng)成為中國企業(yè)必須要考慮的一個重要問題。但對于合規(guī)的一些基本問題,包括概念、起源、范圍,以及合規(guī)與內(nèi)控、風險及法務(wù)的關(guān)系和如何建立健全有效的合規(guī)管理體系等,在實務(wù)中并沒有一個統(tǒng)一的標準。據(jù)此,企業(yè)應(yīng)當如何建立健全合規(guī)與內(nèi)控、風險及法務(wù)一體化全面風險管理體系的構(gòu)成,以及合規(guī)、內(nèi)控、風險及法務(wù)管理四者的關(guān)系,針對四位一體化全面風險管理體系的初步構(gòu)建并在實務(wù)中結(jié)合實際不斷發(fā)展與優(yōu)化,使合規(guī)與內(nèi)控、風險及法務(wù)管理一體化可以充分全面控制企業(yè)的風險,從而減少或者降低企業(yè)的風險,確保企業(yè)穩(wěn)健經(jīng)營。本文從合規(guī)管理實務(wù)的起源入手,對合規(guī)的一些基本問題進行研究探討,并對中國企業(yè)建立有效的合規(guī)管理體系進行分析研究,本文認為中國企業(yè)的合規(guī)管理體系建設(shè)首先應(yīng)結(jié)合企業(yè)自身特點和實際經(jīng)營情況而制定,不能一概而論。
前 言
2018年6月,中興通訊因違反美國出口管制法律而與美國政府剛達成和解協(xié)議,2018年10月,華為CFO就因涉嫌違反美國出口管制法律而在加拿大國籍機場被逮捕,經(jīng)過一段時間的辯護維權(quán)措施,才得以從加拿大刑事司法程序中釋放回國,2019年4月,香港民政局前局長因違反美國《反海外腐敗法》(FCPA)被美國聯(lián)邦法院判處有期徒刑3年,罰金40萬。實際上,根據(jù)美國司法部公開的案例,僅從2016年1月至2019年1月,因違反美國出口管制法律而被起訴的全球63家企業(yè)中,就有25家中國企業(yè)和個人,已經(jīng)超過1/3,在世界銀行公布的處罰名單中,中國企業(yè)從幾年前的屈指可數(shù)到目前已經(jīng)累計至數(shù)百家因違反世行規(guī)則而先后受到制裁,其中很多涉及建筑行業(yè),且多系在參與世行項目過程中“欺詐”所致。據(jù)此,在全球經(jīng)濟一體化的大環(huán)境下,以及中國一帶一路的倡議和踐行過程中,中國企業(yè)建立有效的合規(guī)管理體系,已經(jīng)迫在眉睫。
與此相適應(yīng),從2018年11月啟動合規(guī)新標準的制定工作以來,歷時3年多,五個階段,2021年4月13日企業(yè)合規(guī)領(lǐng)域國際層面的重磅標準——ISO 37301:2021《合規(guī)管理體系要求及使用指南》(Compliance management systems — Requirements with guidance for use)正式發(fā)布實施,從2016年開始已有五家央企試點建立合規(guī)體系,以及后續(xù)逐漸出現(xiàn)各專業(yè)律師事務(wù)所機構(gòu)亦都重視對企業(yè)合規(guī)管理體系制度的建設(shè),但實際運行效果如何尚不得而知。然而,隨著國際社會對中國企業(yè)因重大違規(guī)事件進行處罰而引發(fā)的中國企業(yè)對合規(guī)的關(guān)注,以及中國政府及司法機關(guān)層面對合規(guī)的高度重視,可以預見包括央企在內(nèi)的不同級別的國企以及民企將在接下來的時間會意識到合規(guī)的重要性,從而期望可以建立一部有效并可執(zhí)行的合規(guī)管理體系制度。因此,如何建立有效的合規(guī)管理體系制度,將是中國企業(yè)接下來很長一段時間內(nèi)將要面對的一個重要問題。
一、合規(guī)管理的概念
根據(jù)《中央企業(yè)合規(guī)管理指引(試行)》所稱合規(guī)管理,是指以有效防控合規(guī)風險為目的,以企業(yè)和員工經(jīng)營管理行為為對象,開展包括制度制定、風險識別、合規(guī)審查、風險應(yīng)對、責任追究、考核評價、合規(guī)培訓等有組織、有計劃的管理活動。
在歐美國家早期的合規(guī)概念主要集中于誠信經(jīng)營及反商業(yè)賄賂領(lǐng)域。比如美國的《反海外腐敗法》(FCPA法案),自1977年立法至今已有四十多年,美國很多公司合規(guī)部門主要的職責就是確保公司經(jīng)營符合FCPA的要求,而對于FCPA而言,其核心的內(nèi)容就是禁止以賄賂的方法獲取或保留業(yè)務(wù)。在歐美的世界500強公司中,雖然有些僅設(shè)法務(wù)部,合規(guī)部隸屬于法務(wù)部,是法務(wù)部門的一個內(nèi)設(shè)機構(gòu),但在很多公司中,合規(guī)部門卻是一個獨立于法務(wù)的部門,而且合規(guī)部門的工作仍以反商業(yè)賄賂為主,以其他領(lǐng)域的合規(guī)工作為輔,包括但不限于反壟斷、勞動用工、個人隱私和數(shù)據(jù)保護及出口管制等。這一點也體現(xiàn)在歐美國家的執(zhí)法部門,經(jīng)常引人注目的合規(guī)案件,大部分仍然集中在反商業(yè)賄賂領(lǐng)域。美國的兩大執(zhí)法機構(gòu)證券交易委員會(SEC)和司法部(DOJ)不定期頒布的FCPA案件,依然被各大歐美公司合規(guī)部門密切關(guān)注和經(jīng)常引用,并作為企業(yè)日常合規(guī)工作的重要官方參考和指引。
在中國涉外律師早期的合規(guī)業(yè)務(wù)中,基本來源于美國在華企業(yè)違反美國的FCPA法。因此,在涉外律師早先的概念中,合規(guī)基本上指的是要合乎美國FCPA法案要求的反賄賂條款和會計條款。當然,對于其他方面的合規(guī),比如反壟斷、反洗錢、勞動、稅務(wù)、海關(guān)進出口以及出口管制等,也會涉及,但在涉外律師早期的合規(guī)業(yè)務(wù)中,反商業(yè)賄賂曾一度占據(jù)主要地位。而一些全球組織,比如經(jīng)濟合作與發(fā)展組織(OECD)、世界銀行等,對于合規(guī)的定義,也主要在誠信經(jīng)營和反商業(yè)賄賂等方面。但隨著時代的發(fā)展,合規(guī)的概念和范圍也在不斷延伸和優(yōu)化。比如隨著互聯(lián)網(wǎng)的普及以及智能化軟件、工具和科技越來越多的使用,個人隱私和數(shù)據(jù)保護合規(guī),最近幾年發(fā)展迅速,成為合規(guī)領(lǐng)域一個越來越重要的分支。再如,隨著中興通訊和華為事件的發(fā)生,中國企業(yè)也越來越關(guān)注美國出口管制領(lǐng)域的合規(guī)。
在中國,尤其是伴隨著《中央企業(yè)合規(guī)管理指引(試行)》和《企業(yè)境外經(jīng)營合規(guī)管理指引》的頒布,以及最近于2021年4月13日發(fā)布的企業(yè)合規(guī)領(lǐng)域國際層面的標準——ISO 37301:2021《合規(guī)管理體系要求及使用指南》,在中國企業(yè)的概念中,合規(guī)更多指的是全面合規(guī)、整體合規(guī),即全方位、各環(huán)節(jié)、各領(lǐng)域都要合規(guī),包括但不限于反商業(yè)賄賂、反洗錢、反壟斷、知識產(chǎn)權(quán)、出口管制與海關(guān)、個人隱私與數(shù)據(jù)保護、稅務(wù)、環(huán)境保護及勞動用工等。但實際上,如果說合規(guī)與其他法律問題有何本質(zhì)區(qū)別的話,那么合規(guī)關(guān)注更多的是因政府的行政監(jiān)管或司法機關(guān)的刑事追責而可能引起的重大法律風險。如果只是一般的民事法律責任,通常并不需要納入合規(guī)管理體系,比如民法概念中的違約責任或侵權(quán)責任等。
從具體的概念層面來看,通常理解合規(guī)指的是遵守國家法律、法規(guī)及政策,以及國際法中國際條約、國際慣例、行業(yè)規(guī)范,包括企業(yè)內(nèi)部規(guī)章制度等。但對于每一個具體的企業(yè)及其員工來講,合規(guī)指的就是遵守企業(yè)內(nèi)部的規(guī)章制度,而企業(yè)內(nèi)部的規(guī)章制度同時也是來源于國家的法律、法規(guī)及政策,以及國際法中國際慣例和國際條約、行業(yè)規(guī)范等各個不同級別的強制性法律規(guī)范,如果企業(yè)內(nèi)部的規(guī)章制度沒有規(guī)定的,才需要到外部的強制性法律規(guī)范條文中去尋找行為依據(jù),甚至是更高的道德層面的要求,比如誠信原則。
因此,對于合規(guī)的概念,由于合規(guī)在中國才剛剛起步,對于中國企業(yè)而言,目前會更加關(guān)注合規(guī)體系制度的建設(shè),而且剛開始,企業(yè)通常期望建立全面合規(guī)、整體合規(guī),即全方位、各環(huán)節(jié)、各領(lǐng)域的內(nèi)部規(guī)章制度,且是有效可以執(zhí)行的一部合規(guī)管理體系制度。在建章立制后,企業(yè)會自然更加關(guān)注合規(guī)制度實際運行的效果問題以及樹立正確的合規(guī)管理理念和文化的問題。與此同時,合規(guī)本身也會隨著企業(yè)的發(fā)展變化并不斷延伸和優(yōu)化。即將遵循ISO 37301:2021《合規(guī)管理體系要求及使用指南》的標準,其中最重要的優(yōu)勢就是它的整體方法標準將遵循連續(xù)提升的模型,即:開發(fā)-實施-評價-保持(這就是所謂的“PDCA 循環(huán)”——計劃、執(zhí)行、核查、行動——由質(zhì)量管理開始)。
二、合規(guī)、內(nèi)控、風險、法務(wù)的起源
1、合規(guī)起源于2017年的中興事件,通過該事件,使國內(nèi)企業(yè)進一步意識到合規(guī)管理的重要性。企業(yè)不能為追求短期目標而急功近利,不能因不當商業(yè)行為,片面追求收益而不講條件、范圍,認為風險越大、收益越高的觀念和做法。同時,也要防止單純?yōu)橐?guī)避風險而放棄發(fā)展機遇。因此,構(gòu)建合規(guī)管理體系,進一步規(guī)范企業(yè)營商行為,勢在必行。
2、內(nèi)控起源于中國內(nèi)控體系建設(shè)和強化開始于2008年,財政部聯(lián)合證監(jiān)會、銀監(jiān)會、保監(jiān)會、審計署發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,此規(guī)范開啟了中國內(nèi)控體系建設(shè)的大幕。與美國不同的是,國內(nèi)的內(nèi)控體系目標定位不僅限于財務(wù)目標控制,也包括業(yè)務(wù)目標的控制。國內(nèi)企業(yè)據(jù)此構(gòu)建內(nèi)控體系,既提升了管理的精細化程度,也為國內(nèi)企業(yè)赴海外上市強化了基礎(chǔ)。
3、風險起源于2006年,國務(wù)院國資委發(fā)布了《中央企業(yè)全面風險管理指引》,國企紛紛開始構(gòu)建風險管理體系。央企投資項目動輒幾億、幾十億資金,而資金的回籠時間較長,中間存在很多不確定性,這些不確定性就是企業(yè)需要管理的風險,對此,需要一套科學的系統(tǒng)對這些不確定性進行預測、評估、提出對策,以保證企業(yè)的經(jīng)營目標實現(xiàn)。
4、法務(wù)起源于1842年美孚石油公司成立了全球第一家企業(yè)法律部門,1981年中國機械進出口、武鋼等設(shè)立了法律部門。1997年國家經(jīng)貿(mào)委頒布的《企業(yè)法律顧問管理辦法》,標志著中國企業(yè)法律顧問機制的確立。其后,大型企業(yè)專設(shè)的法律事務(wù)部,逐漸成為企業(yè)重要的職能部門。2015年國資委發(fā)布《關(guān)于全面推進法治央企建設(shè)的意見》后,依法治企便成為依法治國戰(zhàn)略的重要內(nèi)容,企業(yè)法務(wù)從審合同、處理訴訟案件的專項法律事務(wù)進入到控風險、當參謀的企業(yè)管理,其責任和重要性進一步得到了彰顯。
三、合規(guī)與內(nèi)控、風險及法務(wù)管理的關(guān)系
合規(guī)與內(nèi)控、風險及法務(wù)管理,都是為了預防、減少公司風險。但四者之間,既有聯(lián)系,也有區(qū)別。
1、合規(guī)與內(nèi)控的聯(lián)系與區(qū)別
首先,內(nèi)控與合規(guī)有明顯的區(qū)別。比如,內(nèi)控主要關(guān)注企業(yè)的財務(wù)問題或現(xiàn)金流向等問題。從制度層面來講,內(nèi)控通常會關(guān)注與財務(wù)相關(guān)的規(guī)章制度等問題,而合規(guī)則更關(guān)注根本性的、關(guān)系公司全局性的問題。如果從一個更高層面來講,內(nèi)控僅關(guān)注制度,而合規(guī)是一個公司全局性的完善的體系,涉及公司內(nèi)部規(guī)章制度、公司管理層態(tài)度、溝通與交流、培訓、不斷持續(xù)改進、調(diào)查、懲戒等,合規(guī)最終的目標是確保公司的各項運營,不但符合法律法規(guī)和公司內(nèi)部規(guī)章制度,以避免行政處罰或刑事處罰所帶來的風險,而且最終是期望建立一個合法合規(guī)的公司理念與文化。從這個角度看,內(nèi)控只是合規(guī)體系的一部分。
其次,這兩個部門之間也有很緊密的聯(lián)系。比如目標都是一樣的,都期望幫助公司做好預防工作,將風險防患于未然,而且在做合規(guī)審計和持續(xù)改進時,合規(guī)部門通常會邀請內(nèi)控部門一起組成工作組,進行合規(guī)審計,撰寫合規(guī)審計報告,并就審計中發(fā)現(xiàn)的問題,提出改進意見,以做到持續(xù)改進等。
2、合規(guī)與風險控制的聯(lián)系與區(qū)別
對于企業(yè)而言,風險是各種各樣的,按照不同標準劃分也可以分成不同的風險,比如按照是否與法律直接相關(guān),就可以簡單分為商業(yè)風險和法律風險。早在2006年國務(wù)院國資委頒布的《中央企業(yè)全面風險管理指引》第三條就指出,企業(yè)風險是未來的不確定性對企業(yè)經(jīng)營可能產(chǎn)生的各方面的影響,包括戰(zhàn)略風險、財務(wù)風險、市場風險、運營風險、法律風險等。因此,只要是為控制企業(yè)風險而采取的各種措施都可以納入風險控制體系。而合規(guī)風險則是企業(yè)整個風險中的一部分,而且通常是法律風險中最重要的一些風險,即與行政監(jiān)管和刑事司法有關(guān)的、容易引起企業(yè)生死存亡的重大法律風險,所以現(xiàn)在世界各國普遍把合規(guī)風險單獨列出來做為一類風險并提倡建立相應(yīng)的合規(guī)管理體系。國務(wù)院國資委在出臺央企風險管理指引多年后,又在2018年出臺央企合規(guī)管理指引,或許正是基于這種考慮。
3、合規(guī)與法務(wù)管理的聯(lián)系與區(qū)別
首先,法務(wù)和合規(guī)工作范圍有明顯區(qū)別。在公司里,有一些工作明顯屬于法務(wù)部門,比如審核合同、修改合同,投資并購,訴訟,包括債務(wù)糾紛、勞動糾紛、產(chǎn)品責任糾紛、知識產(chǎn)權(quán)申請、維護及知識產(chǎn)權(quán)訴訟等。而有些看似與法務(wù)相關(guān)的法律工作,則明顯屬于合規(guī)部門,比如對第三方管理、捐贈與禮物、與政府官員交往,內(nèi)部違規(guī)的調(diào)查以及審計等。此外,如果是因政府行政監(jiān)管或司法機關(guān)刑事追責有關(guān)的事務(wù),包括接受行政監(jiān)管部門的調(diào)查、處理或司法機關(guān)的偵查、刑事處罰等,一般也會歸屬到合規(guī)部門職責范圍。
其次,從組織結(jié)構(gòu)來講,歐美很多公司都會設(shè)置合規(guī)委員會,并定期向董事會報告。然而一般情況下,對于法務(wù)部門,則幾乎沒有就法律問題會成立類似的公司層面的工作委員會。
最后,二者也有很多聯(lián)系,工作上也有很多需要相互配合。比如合規(guī)也會審核合同,但它更多的會看一些法務(wù)部門審核以外的法律問題,比如反商業(yè)賄賂條款,價格或支付的對價是否符合公允的市場價,是否有壟斷嫌疑,交易主體是否曾有不合規(guī)歷史等。有些則以法務(wù)為主,合規(guī)部門為輔。比如,跨國公司大型并購,通常是由法務(wù)領(lǐng)銜,從一開始的項目論證,到對目標公司的盡調(diào)、談判、起草文件,以及最后到相關(guān)政府部門辦理股權(quán)變更等。而合規(guī)則只是整個項目的一部分,比如合規(guī)會關(guān)注目標公司經(jīng)營過程中的重大合規(guī)問題,比如是否有商業(yè)賄賂,經(jīng)營模式是否有刑事風險,是否有逃稅,公司員工社保是否繳納等。但有些事務(wù)也會由合規(guī)主導,法務(wù)配合。比如對于違規(guī)事件的合規(guī)調(diào)查或?qū)徲嬛校诤弦?guī)部門主導調(diào)查或?qū)徲嫊r,也需要法務(wù)提供法律意見,以確定違規(guī)事件的嚴重性。
因此,合規(guī)與內(nèi)控、風險及法務(wù)管理的關(guān)系有其共通之處,如四者都是以風險管理為對象,以法律作為基礎(chǔ)。
四、合規(guī)、內(nèi)控、風險、法務(wù)一體化全面風險管理體系的構(gòu)建
中國企業(yè)的合規(guī)體系建設(shè)體系化或者單獨的作為一個概念提出來雖然較晚,但并非沒有做過與合規(guī)相關(guān)的工作。比如銀行業(yè)的合規(guī)指引很早就已出臺,央企的風險控制指引也很早就出臺。但這也恰巧說明風控和合規(guī)還是有區(qū)別,因為在經(jīng)歷風控之后,現(xiàn)在政府層面仍然提出了合規(guī)指引。因此,提倡建立獨立的、體系化的合規(guī)體系仍有必要。
然而,說到合規(guī)體系建設(shè),目前國內(nèi)企業(yè)對外部律師提出這個要求時,往往認為外部律師只要幫助企業(yè)建立一套規(guī)章制度就算合規(guī)體系建設(shè)完成。但實際上合規(guī)體系的建立,是一個系統(tǒng)工程。完善的企業(yè)制度固然是合規(guī)體系建設(shè)中極其重要也是非常基礎(chǔ)的一部分,但這也只是其中一部分。制度建立以后,比制度更重要的是有效地運行、持續(xù)改進以及合規(guī)理念、文化的建立等。
(一)“四位一體化”全面風險管理體系制度
1、合規(guī)風險
根據(jù)《中央企業(yè)合規(guī)管理指引(試行)》所稱合規(guī),是指中央企業(yè)及其員工的經(jīng)營管理行為符合法律法規(guī)、監(jiān)管規(guī)定、行業(yè)準則和企業(yè)章程、規(guī)章制度以及國際條約、規(guī)則等要求。
所稱合規(guī)風險,是指中央企業(yè)及其員工因不合規(guī)行為,引發(fā)法律責任、受到相關(guān)處罰、造成經(jīng)濟或聲譽損失以及其他負面影響的可能性。
所稱合規(guī)管理,是指以有效防控合規(guī)風險為目的,以企業(yè)和員工經(jīng)營管理行為為對象,開展包括制度制定、風險識別、合規(guī)審查、風險應(yīng)對、責任追究、考核評價、合規(guī)培訓等有組織、有計劃的管理活動。
建立合規(guī)制度是有效合規(guī)體系最重要的基礎(chǔ)。而建立制度的前提,就是要全面、準確識別企業(yè)自身的風險。關(guān)于合規(guī)風險,依據(jù)企業(yè)所屬的行業(yè)(比如醫(yī)療、銀行金融、建筑)、類型(生產(chǎn)、貿(mào)易等)及企業(yè)經(jīng)營所在的國別等各種因素,每個企業(yè)的合規(guī)風險就不同。這就決定了在建立或完善制度時,首先需要清楚地識別企業(yè)自身的合規(guī)風險,才能有針對性地建立不同的內(nèi)部規(guī)章制度。
比如,金融行業(yè)和生產(chǎn)型企業(yè)合規(guī)要求就會差異很大。此外,并不是每家企業(yè)都需要關(guān)注美國的出口管制規(guī)定,因為并不是每家企業(yè)都從美國進口零部件。也不是美國企業(yè)都需要去了解美國的FCPA法案,因為不是每家企業(yè)都會在美國有經(jīng)營或者與美國有關(guān)聯(lián)。再如,不是每家企業(yè)都需要關(guān)注世界銀行的合規(guī)誠信指南,因為不是每家企業(yè)都會參與世行項目。
2、合規(guī)制度
根據(jù)《中央企業(yè)合規(guī)管理指引(試行)》的規(guī)定,加快建立健全合規(guī)管理體系應(yīng)當遵循以下原則:
(一)全面覆蓋。堅持將合規(guī)要求覆蓋各業(yè)務(wù)領(lǐng)域、各部門、各級子企業(yè)和分支機構(gòu)、全體員工,貫穿決策、執(zhí)行、監(jiān)督全流程;
(二)強化責任。把加強合規(guī)管理作為企業(yè)主要負責人履行推進法治建設(shè)第一責任人職責的重要內(nèi)容。建立全員合規(guī)責任制,明確管理人員和各崗位員工的合規(guī)責任并督促有效落實;
(三)協(xié)同聯(lián)動。推動合規(guī)管理與法律風險防范、監(jiān)察、審計、內(nèi)控、風險管理等工作相統(tǒng)籌、相銜接,確保合規(guī)管理體系有效運行;
(四)客觀獨立。嚴格依照法律法規(guī)等規(guī)定對企業(yè)和員工行為進行客觀評價和處理。合規(guī)管理牽頭部門獨立履行職責,不受其他部門和人員的干涉。
通過五家試點央企公開披露的信息可以看到,在合規(guī)體系建設(shè)中,一般都在企業(yè)頒布合規(guī)管理規(guī)定或合規(guī)手冊。這個可以視為是整個合規(guī)制度中的重中之重。在這個總則性的文件中,它是綱領(lǐng)性文件。首先它通常都會在引言部分闡明合規(guī)的意義和重要性。其次,會將企業(yè)認為最重要的問題,以列舉的方式一一列出,比如不得以賄賂的方式開展業(yè)務(wù),不得性騷擾,反壟斷,不得內(nèi)幕交易,遵守勞動法等等。
總共3頁 1 [2] [3]
下一頁
